可通过五种方法阻止USB设备接入:一、组策略禁用可移动存储;二、注册表禁用USBSTOR服务;三、设备管理器禁用USB根集线器;四、BIOS/UEFI禁用USB控制器;五、PowerShell动态禁用USB存储设备。
如果您希望阻止未经授权的USB设备接入Windows 10电脑,防止数据泄露或恶意硬件植入,则需从系统策略、驱动服务、硬件控制器及固件层实施多级限制。以下是实现该目标的多种独立有效方法:
一、通过本地组策略编辑器全面拒绝可移动存储访问
该方法利用Windows专业版/企业版内置的组策略机制,在系统启动阶段即拦截所有可移动存储设备的识别与挂载流程,使U盘、移动硬盘等设备插入后既不显示盘符,也无法执行任何读写操作。
1、按下Win + R组合键,输入gpedit.msc并回车,以管理员权限启动本地组策略编辑器。
2、在左侧树形目录中,依次展开:计算机配置 → 管理模板 → 系统 → 可移动存储访问。
3、在右侧窗格中,双击打开策略项:所有可移动存储类:拒绝所有权限。
4、在弹出窗口中选择已启用,点击应用,再点击确定保存设置。
5、重启计算机,此后插入任何USB存储设备均不会被系统识别或响应。
二、修改注册表禁用USBSTOR驱动服务
此方法直接作用于Windows服务控制数据库,将USB存储驱动(USBSTOR)设为禁用状态,适用于未安装组策略编辑器的Windows 10家庭版系统,且效果与组策略一致,仅影响USB存储类设备,不影响键盘、鼠标等非存储外设。
1、按下Win + R,输入regedit并回车,以管理员身份运行注册表编辑器。
2、在地址栏中粘贴路径并回车:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR。
3、在右侧窗格中,双击Start项(类型为DWORD 32位)。
4、将数值数据由默认的3更改为4,基数保持十六进制,点击确定。
5、关闭注册表编辑器,重启计算机完成生效。
三、通过设备管理器禁用USB根集线器
该方法在硬件驱动层级手动停用USB主控制器,物理切断USB端口的数据通路与供电能力,可彻底阻断所有USB设备(包括存储类与非存储类)的通信,但操作后键盘、鼠标等也将失效,适用于临时高安全隔离场景。
1、右键点击“开始”按钮,选择“设备管理器”进入硬件管理界面。
2、在设备列表中找到并展开“通用串行总线控制器”选项。
3、逐一右键点击每个标有“USB Root Hub”的设备,选择“禁用设备”。
4、确认操作后,所有USB端口将停止工作;如需恢复,须重新启用对应设备。
四、通过BIOS/UEFI固件层禁用USB控制器
此方法在操作系统加载前即阻止USB主控芯片初始化,完全规避系统级软件干预可能存在的绕过风险,提供最高级别的物理防护,适用于对数据安全要求极端严格的环境。
1、重启计算机,在开机自检过程中根据屏幕提示反复按压F2、Delete 或 F10键进入BIOS/UEFI设置界面。
2、使用方向键导航至“Advanced”、“Integrated Peripherals”或“USB Configuration”等类似选项。
3、查找“USB Controller”、“XHCI Mode”或“USB Support”相关条目。
4、将其设置为Disabled,按F10保存并退出。
5、重启后,所有USB端口(含键盘、鼠标)均无法使用,必须通过PS/2接口或其他替代输入设备操作。
五、使用PowerShell命令批量禁用USB存储类设备实例
该方法通过Windows内置的设备管理命令,动态禁用当前已连接的USB大容量存储设备,无需重启,适用于需即时响应插入行为的管控场景,且支持脚本化部署。
1、以管理员身份运行Windows PowerShell。
2、执行以下命令列出所有USB存储设备:Get-PnpDevice -Class "DiskDrive" | Where-Object {$_.Name -like "*USB*"}。
3、记录目标设备的InstanceId(如USBSTOR\DISK&VEN_&PROD_USB_FLASH&REV_1.00\00000000000000000000&0)。
4、执行禁用命令:Disable-PnpDevice -InstanceId "上述InstanceId" -Confirm:$false。
5、重复步骤3–4,对每个需禁用的USB存储设备实例执行操作。
